我刊已长期开通【漫话安全】栏目，

以图文漫画的形式为大家讲讲“网安圈”的一些趣事、要闻，

欢迎各位大大给我们的专栏投稿哦☺☺☺☺

本期我们联合了青藤云安全的青小宝，

讲讲为啥主机端的入侵检测如此艰难。。。

拒绝服务器“裸奔”

前几天被问到这么一个问题

主机这么重要

为啥这几年才开始关注主机侧的入侵检测呢

其实原因很简单：壁垒深、投入大、风险高

绝大部分厂商都不愿意去啃这块硬骨头

一、什么是HIDS？

主机入侵检测系统（HIDS）

就是基于主机的入侵检测系统

对，这次不是基于网络侧的入侵检测了

而是基于主机侧

它通过在被检测的主机上运行一个Agent

该Agent扮演着检测引擎的角色

对受检测主机进行web后门、反弹shell、

本地提权、系统后门、挖矿木马

及Web RCE等监控和检测

当发现可疑行为和安全违规事件时

系统就会向管理员报警，以便采取措施

二、为什么要搞HIDS?

说白了，都是攻击技术进化倒逼的

首先，网络入侵者花招百出，招招致命

其次，敌人有时候就在内部，防不胜防

最后，边界防御设备能挡住的入侵越来越少

形同虚设

而想要确保网络的安全

光靠网络入侵检测系统（NIDS）

和防火墙（FW）是远远不够的

而是要从最核心的主机着手进行安全防护

这就需要专门为主机量身定制的

HIDS无时不在的防护

三、HIDS的技术壁垒在哪里？

如此先进、专业、吊炸天的HIDS

是不是所有网安人的“梦中情品”嘞

虽然现在号称有HIDS厂商众多

但大部分产品都存在这样或那样的问题

很难满足用户的真实诉求

要么是漏报太多，形同虚设

十个有九个都不发出告警

那这样的HIDS几乎等于白装

要么告警铺天盖地，难辨真假

安全人员一天少说也得接到好几百条告警

但绝大部分告警都毫无意义

因为压根没人有时间管它

更可怕的是

这些误报甚至会淹没真正有价值的告警

要么就是基于特征库，检测不到未知威胁

有的HIDS产品是“憨憨”

只能根据已经设置好的特征库

来检测威胁

而面对特征库里没有输入的威胁种类时

它就成了“睁眼瞎”

四、什么样的HIDS产品才是好的呢？

1、多锚点的检测能力，减少漏报

对攻击路径的每个节点都进行监控

并提供跨平台多系统的支持能力

保证了能实时发现失陷主机

对入侵行为进行告警

2、检测并告警“成功的入侵”，抓住重点

只对成功的入侵行为发出告警

减少警报数量，让警报更有价值

3、基于行为分析，有效发现未知手段的攻击

结合专家经验、威胁情报、大数据、 机器学习等

多种分析方法

通过对用户主机环境的实时监控和深度了解

有效发现包括“0Day”在内的各种未知攻击

4、结合资产信息，为响应提供最准确的一线信息

不只要能发现入侵

还能够提供详细的入侵分析和响应手段

让用户精准有效地解决问题

将主机上的实时入侵事件

发给SOC/SIEM平台进行联动

提供进程阻断、IP封禁、文件隔离/删除等服务

如果HIDS产品具备了以上这些绝技

实现主机入侵检测的

低漏报、低误报、主动检测未知威胁、实时联动安全平台

好了，如果您有任何关于

入侵检测或网络安全的需求与疑问

可以扫码添加青小宝的安全工程师爸爸微信哦